La Cour de justice de l’Union européenne vient de prononcer une sanction assez inédite hier, en condamnant la Commission européenne pour non-respect des lois de l’Union sur la protection des données personnelles. L’institution devra verser la somme symbolique de 400 euros de dommages et intérêts à un citoyen allemand, victime d’un transfert de ses données vers Meta (maison mère de Facebook) via un site officiel de l’UE. Mais la décision de principe est bien là !
Et dans les faits ?
L’affaire remonte à 2021, lorsqu'un citoyen allemand s’inscrit à un événement via le site de la Conférence sur l’avenir de l’Europe, un portail géré par la Commission européenne. Au moment de son inscription, il utilise l’option Se connecter avec Facebook, qui a entraîné le transfert de certaines de ses données personnelles à Meta, dont son adresse IP.
Il estime alors que ce transfert l’expose à des risques en raison de l’insuffisance des protections offertes par les États-Unis, où Meta est basée. Fidèle à ses principes, il intente donc une action en justice, demandant 400 euros pour le préjudice moral subi (voilà donc l'origine de la somme...).
Quid Juris ?
Dans sa décision, la CJUE confirme que, au moment des faits, les États-Unis ne disposaient pas d’un niveau de protection des données reconnu comme adéquat au sens des textes applicables au sein de l’Union européenne. Elle a critiqué la Commission européenne pour avoir permis ce transfert via un hyperlien, ne respectant pas les conditions strictes fixées par le droit européen. Selon la Cour, ce manquement a placé la victime dans une situation d’insécurité quant à l’usage et au traitement de ses données, causant un préjudice moral suffisant pour justifier la condamnation.
Au delà de la somme plutôt infime, cette décision constitue une première dans l’histoire de l’Union européenne. Elle envoie un signal clair : même les institutions européennes doivent respecter rigoureusement les règles en matière de protection des données personnelles, inscrites dans le RGPD. Avec cette condamnation, la CJUE rappelle que la transparence et la sécurité des données des citoyens de l’UE sont des obligations non négociables, y compris pour les organismes communautaires.
Cette affaire pourrait ouvrir la voie à d’autres recours similaires, renforçant davantage la vigilance sur le respect des droits numériques en Europe. Dans tous les cas, cette jurisprudence pourrait bien être invoquée à l'avenir par les entreprises techs dans leurs propres procédures.
